Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1403 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][FIXED] Questions about URL Hardening

Billybob
Ok, finally got around to testing URL hardening but I think I don't understand how it works.
I have a owa website ssl external mapped to http internal server. Without the url filter, I can use https:// www. mywebsite.com or https:// mywebsite.com and get the right page 
2010:06:07-20:50:04 gatekeeper reverseproxy: srcip="166.205.11.188" localip="10.0.0.1" size="4670" user="-" host="166.205.11.188" method="GET" statuscode="200" time="13577" url="/" server="www. mywebsite.com" referer="www. mywebsite.com/" cookie="-" set-cookie="-"


However if I enable url filter without any entry urls, I can access mywebsite.com but not www. mywebsite.com . Only thing I noticed was the stripped referrer and the no signature found[:S] 

2010:06:07-20:45:07 gatekeeper reverseproxy: [Mon Jun 07 20:45:07 2010] [error] [client 166.205.11.188] No signature found, URI: www. mywebsite.com/

2010:06:07-20:45:07 gatekeeper reverseproxy: srcip="166.205.11.188" localip="10.0.0.1" size="179" user="-" host="166.205.11.188" method="GET" statuscode="403" time="3145" url="/" server="www. mywebsite.com" referer="-" cookie="-" set-cookie="-"


I thought url hardening would block everything other than the url that is in the entry url list so for example / in the entry urls would allow all access, /exchange would only allow access to mywebsite.com/exchange and the links on that page etc. But without any urls in entry URL list, I can navigate to everything (anything that doesn't have www in the url) and manipulate urls to generate 404s etc.

Also getting this in my logs which shouldn't be there 
2010:06:07-20:43:23 gatekeeper reverseproxy: [Mon Jun 07 20:43:23 2010] [error] [client 166.205.11.188] Charset ISO-8859-1 not supported.  Consider aliasing it?

2010:06:07-20:43:23 gatekeeper reverseproxy: [Mon Jun 07 20:43:23 2010] [warn] [client 166.205.11.188] No usable charset information; using configuration default
Parents
  • 0
    Hi Billybob,

    me again - if you did not configure the used domain for the virtual server that served your request, the request will not be checked for a hardened url. This is a known bug, which is fixed in the next beta release (ASG 7.921).

    Regards
      mlenk
  • 0 in reply to mle
    Hi Billybob,

    me again - if you did not configure the used domain for the virtual server that served your request, the request will not be checked for a hardened url. This is a known bug, which is fixed in the next beta release (ASG 7.921).

    Regards
      mlenk

    Ok, My url hardening still not working as I get 403 forbidden for every request. The bug is still there also. I have a live website but for anonymity i will call it www. astarobeta. org with IP 10.0.0.1. I get 403 forbidden for www. astarobeta. org but I can access the site freely with the IP 10.0.0.1. This shouldn't be. What is the point of url hardening if you can do as you wish by just using the right IP.
  • 0 in reply to Billybob
    I have a live website but for anonymity i will call it www. astarobeta. org with IP 10.0.0.1. I get 403 forbidden for www. astarobeta. org but I can access the site freely with the IP 10.0.0.1. This shouldn't be. What is the point of url hardening if you can do as you wish by just using the right IP.


    You should make sure that your network setup routes HTTP traffic to www.astarobeta.org and to 10.0.0.1 over your ASG. For the 403 forbidden you should check the logfile for the Web Application Firewall. It should contain a hint for every blocked request.

    Regards
    mlenk
  • 0 in reply to mle
     you should check the logfile for the Web Application Firewall. It should contain a hint for every blocked request.


    Aaaaah, I had been staring at it for days, I even put it in my original post No signature found[:@] 
    2010:06:11-13:03:31 gatekeeper reverseproxy: [Fri Jun 11 13:03:31 2010] [error] [client 166.205.10.48] No signature found, URI: https ://astarobeta. org/exchange

    Now I understand the format. You just can't put /* like in modsecurity, you have to put the whole url[:P]

    Ok so here is my question now

    How do I cover aliases?
    like astaro. org and www. astaro. org. When I generate the certificate for ssl, I can only have either astaro. org or www. astaro. org. How do I pass all astaro. org and www. astaro. org traffic via modsecurity. And still make sure that if someone accesses my website with my IP address and not the domain name, its still processed by the url hardening process (modsecurity).

    Thanks and best Regards
    Bill
Reply
  • 0 in reply to mle
     you should check the logfile for the Web Application Firewall. It should contain a hint for every blocked request.


    Aaaaah, I had been staring at it for days, I even put it in my original post No signature found[:@] 
    2010:06:11-13:03:31 gatekeeper reverseproxy: [Fri Jun 11 13:03:31 2010] [error] [client 166.205.10.48] No signature found, URI: https ://astarobeta. org/exchange

    Now I understand the format. You just can't put /* like in modsecurity, you have to put the whole url[:P]

    Ok so here is my question now

    How do I cover aliases?
    like astaro. org and www. astaro. org. When I generate the certificate for ssl, I can only have either astaro. org or www. astaro. org. How do I pass all astaro. org and www. astaro. org traffic via modsecurity. And still make sure that if someone accesses my website with my IP address and not the domain name, its still processed by the url hardening process (modsecurity).

    Thanks and best Regards
    Bill
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?